Открыть список
Как стать автором
Обновить

Комментарии 12

Хорошее правило — публиковать хэши файлов, на основании которых вы делали анализ. Я вот ковырял свежего Ryuk пару недель назад и… такое ощущение что мы ковыряли разное и я даже не могу проверить кто из нас не прав :-) Но судя по тому, что вы не упоминаете Wake-On-Lan — у вас анализ довольно старой версии ;-)

Вижу в списке команд acronis и интересно, если бекап происходит на удаленный ftp сервер, удаляется ли содержимое бекапов и оттуда тоже.теперь понятно, что значит фраза — делать бекап бекапов

На удаленном ftp сервере должна быть своя политика менеджмента снимков файловой системы, чтоб защититься от удаления данных пользователем ftp.
Учитывая этот факт, для надёжной защиты следует использовать максимально эффективные меры, наиболее важными среди которых мы считаем следующие
Самое главное пожелание компаниям — повысьте ЗП сисадминам и наймите их сколько нужно, а не по остаточному принципу бюджетирования.
эксплуатировали уязвимости EternalBlue и Zerologon


То есть вы хотите сказать, что за 3 года, которые прошли с момента эпидемии Petya и его производных, использовать уязвимость Eternalblue, от которой давно выпущены заплатки, все еще эффективно? Ну тогда пожалуй они это заслужили
А почему популярные антивирусы не могут бороться с самим фактом шифрования (если уж от проникновения они не смогли уберечь)?
Если вы придумаете способ отличать шифрование файла от, например, его архивирования — вы сможете продать этот секрет антивирусным компаниям. Наверное даже дорого…
Вообще на то существуют DLP-системы, которые при не здоровой активности блокировать процессы-источники.
И как отличать здоровое архивирование от нездорового они тоже, естественно, знают?
Ну вообще да, когда с одного источника идёт веерное «архивирование» всех доступных локальных и сетевых ресурсов, то оно явно «нездоровое».

И в какой момент эвристика должна решить что это "нездоровое" архивирование? Какой порог разделения "здоровых" и "нездоровых" архиваций?


И, наверное, даже интересно не сколько "когда", а "как".

Зависит от степени параноидальности конкретной СБ.
И, наверное, даже интересно не сколько «когда», а «как».

DLP и/или UAM мониторит всю пользовательскую активность, как только что-то выбивается из определённого паттерна — идёт реакция.
Не, я не увтерждаю конечно, что это спасёт от всего, но если всё грамотно обустроено, то подобные случаи должно отсекать ещё на подлёте.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
1988
Местоположение
Япония
Сайт
www.trendmicro.com.ru
Численность
5 001–10 000 человек
Дата регистрации

Блог на Хабре